一个简单失误，黑客USDoD巴西落网，曾黑过FBI

黑客USDoD，黑了FBI的安全平台InfraGard，泄漏了8万名用户的个人信息。

今年4月份，USDoD黑了美国的背景调查公司National Public Data，泄漏29亿条个人数据。

黑完NPD，USDoD又去黑安全公司CrowdStrike。之后巴西媒体TecMundo收到一份匿名报告，内容是CrowdStrike对USDoD的溯源分析。

USDoD今天在巴西被抓。不确定USDoD被捕和溯源报告是否有关，不过我们可以来看一看到底CrowdStrike是如何溯源USDoD的。

National Public Data

首先我们看一下被USDoD黑过的NPD。

National Public Data（NPD），是美国一家背景调查公司，由Jerico Pictures经营。该公司提供API接口给企业用户，用户可以通过接口对目标进行背景调查相关资料查询。NPD的数据包含大量个人信息。

2024年6月，黑客USDoD表示，他攻击窃取了NPD的数据，总共有29亿行数据，售价350万美元。数据包括姓名、社保号码、电话号码、地址和出生日期等敏感信息。

之后，NPD证实确实存在数据泄露，并且面临集体诉讼等一些官司。

NPD表示，企业已经无法产生足够的收入来应对负债，更不用说诉讼和调查费用了。并且，保险公司已经拒绝为其提供保险。

公司支票账户只有3万多美元了，总资产只剩2万5到7万5千美元了。所以，只能申请破产了。

NPD于2024年10月向佛罗里达州法院提交了破产申请。

这是一个拥有大量个人敏感数据，然后被黑导致数据泄露，之后公司申请破产的案例，值得学习。

CrowdStrike

CrowdStrike，是的，你没有看错，就是今年Windows蓝屏事件中的安全公司CrowdStrike。

在7月24日，黑客USDoD表示他黑了CrowdStrike，偷了他们的“威胁行为者列表”，表示会放出来给大家下载。

之后，CrowdStrike对USDoD进行了溯源分析。

没过多久，巴西媒体Tecmundo收到了一份匿名报告，报告内容正是CrowdStrike对USDoD的溯源分析。

USDoD

USDoD，这个名字，让人一看就联想到，Uncle Sam和Department of Defense，即美国国防部。

所以新闻报道里面，都是USDoD黑了谁，泄漏了谁的数据。

飞鹰觉得，黑客取这个名字，一方面是为了避免被找到，另一方面也是为了恶心一下USDoD。

Tecmundo表示，这份报告显示，黑客USDoD名叫Luan B.G.，33岁，居住在巴西米纳斯吉拉斯。

报告中还包含税务登记、电子邮件地址、注册域名、IP地址、社交媒体账户、电话号码和城市等信息。为了不彻底暴露攻击者的身份，更精确的信息没有透露给TecMundo。并且这份报告已经提交给当局了。

CrowdStrike识别出USDoD，是因为他使用了同一个邮箱注册黑客账号和个人账号，并且在社交媒体上的行为与黑客USDoD的行为一致。

关键信息如下：

1.从2017年到2022年，Luan使用同一个电子邮件地址（luanbgs22@）在不同论坛上创建账户；

2.同一个电子邮件地址在GitHub上编辑用于网络攻击的代码工具；

3.同一个电子邮件地址注册推广网络攻击工具的域名；

4.同一个电子邮件地址与Luan的多个个人账户相关联；

5.同一个电子邮件地址，自2017年起，在Medium平台上以Natsec发布关于恶意软件的文章；

6.根据电子邮件地址和Medium上的文章，CrowdStrike找到了Luan的Instagram账户，其个性签名包含，“I Protect the Hive. When the System is out of Balance, I Corret.”，同样的句子和电子邮件地址与Twitter账户@equationcorp相关联。equationcorp也是USDoD的另一个账号名。

在不同的论坛和社交媒体上，Luan B.G.的其他昵称包括，Natsec、Netsec、LLTV、LBG91和Labs22。

看到第6句，这个人应该看过杰森的《养蜂人》。

CrowdStrike表示，Luan刚开始进行黑客活动时，安全意识不强，使用同一个邮箱，所以很容易将他的账号关联起来，这其中包括他的照片、地址等信息。

2024年7月，网络犯罪论坛BreachForums数据泄露，曝光了用户的IP地址。根据这些信息，CrowdStrike发现Luan使用了动态的IPv4地址和多个属于巴西某ISP的IPv6地址，该ISP的IP定位位于米纳斯吉拉斯州。

同时，CrowdStrike还发现，在2024年，Twitter账户@equationcorp的在线支付使用的是一家巴西金融机构的信用卡，这条财务记录也将USDoD与巴西关联起来。

回应

黑客USDoD第二天给媒体发送一段采访内容，表示“自己就是Luan，就在巴西”，同时还将facebook名字的后缀加上了USdod。

被抓

10月16日，巴西警方发布声明，抓捕了一名销售数据的嫌疑人。

该嫌疑人曾声称泄露了美国联邦调查局（FBI）的安全平台InfraGard组织的8万名成员的敏感数据。

根据这一条，媒体猜测，被抓的正是USDoD。

一个邮箱走天下，直接被溯源一个底朝天。